哪个ldap查询返回现在已从active-directory中删除的用户对象？

Question

是否存在返回或列出已从active-directory系统中删除的用户对象的ldap查询？您是否必须跟踪active-directory中当前的所有用户对象，并维护一个“最后一次看到”的标记，以告知用户对象何时已从active-directory中删除？

Answer 1

我真的不相信这些信息是可以获得的。在操作系统的下一个版本(Windows2008Directory)中，微软将通过为Active R2对象实现类似回收站的功能来实现这一功能。有关更多信息，请参阅以下文章：http://blogs.technet.com/niraj_kumar/archive/2009/02/03/new-feature-active-directory-recycle-bin-in-windows-2008-r2.aspx http://technet.microsoft.com/en-us/library/dd392261.aspx

但您可能会看到，这与对象本身的删除有关，并且它不提供有关对象的属性何时发生更改的任何信息。您可以查看上一次修改的属性，但即使这样，您也无法知道哪个属性发生了更改(更有可能是最后一次登录)，所以再次离开时没有任何帮助。如果您试图跟踪正在发生的可以重新创建的问题，我建议您创建某种类型的脚本/代码来记录特定用户在给定时间间隔的属性，然后在您从一个步骤移动到另一个步骤的过程中继续运行它。